Група Lazarus, північнокорейська хакерська організація, яка раніше була пов’язана зі злочинною діяльністю, була пов’язана з новою схемою атак для злому систем і викрадення криптовалюти у третіх осіб. Кампанія, яка використовує модифіковану версію вже існуючого шкідливого програмного продукту під назвою Applejeus, використовує криптографічний сайт і навіть документи для отримання доступу до систем.
Модифіковане шкідливе програмне забезпечення Lazarus використовувало криптосайт як фасад
Volexity, вашингтонська фірма з кібербезпеки, пов’язала Lazarus, північнокорейську хакерську групу, яка вже була санкціонована урядом США, із загрозою використання криптографічного сайту для зараження систем з метою викрадення інформації та криптовалюти від третіх осіб.
Повідомлення в блозі випущений 1 грудня стало відомо, що в червні Lazarus зареєстрував домен під назвою «bloxholder.com», який пізніше буде створено як бізнес, що пропонує послуги автоматичної торгівлі криптовалютою. Використовуючи цей сайт як фасад, Lazarus пропонував користувачам завантажити програму, яка служила корисним навантаженням для доставки шкідливого програмного забезпечення Applejeus, спрямованого на викрадення закритих ключів та інших даних із систем користувачів.
Таку ж стратегію використовував Lazarus раніше. Однак ця нова схема використовує техніку, яка дозволяє програмі «заплутувати та сповільнювати» завдання виявлення зловмисного програмного забезпечення.
Макроси документів
Volexity також виявив, що техніка доставки цього шкідливого ПЗ кінцевим користувачам змінилася в жовтні. Метод змінився на використання документів Office, зокрема електронної таблиці, що містить макроси, свого роду програму, вбудовану в документи, призначену для встановлення зловмисного програмного забезпечення Applejeus на комп’ютері.
Документ під назвою «OKX Binance & Huobi VIP fee comparision.xls» відображає переваги, які нібито пропонує кожна з VIP-програм цих бірж на різних рівнях. Щоб пом’якшити цей тип атак, рекомендується блокувати виконання макросів у документах, а також уважно перевіряти та контролювати створення нових завдань в ОС, щоб бути в курсі нових неідентифікованих завдань, що виконуються у фоновому режимі. Однак Veloxity не повідомляє про рівень охоплення, якого досягла ця кампанія.
Лазар був формально обвинувачений Міністерством юстиції США (DOJ) у лютому 2021 року за участю оперативника групи, пов’язаної з північнокорейською розвідувальною організацією, Reconnaissance General Bureau (RGB). До цього, у березні 2020 р., МЮ обвинувачений двох громадян Китаю за сприяння у відмиванні понад 100 мільйонів доларів у криптовалюті, пов’язаних із діяльністю Лазара.
Що ви думаєте про останню кампанію Lazarus щодо шкідливих програм для криптовалют? Розкажіть нам у коментарях нижче.
Зображення кредитів: Shutterstock, Pixabay, Wiki Commons
відмова: Ця стаття призначена лише для ознайомлення. Це не пряма пропозиція чи клопотання пропозиції про купівлю чи продаж, або рекомендація чи схвалення будь-яких товарів, послуг чи компаній. Bitcoin.com не надає інвестиційних, податкових, юридичних чи бухгалтерських консультацій. Ні компанія, ні автор не несуть прямої чи опосередкованої відповідальності за будь-які збитки або збитки, спричинені або ймовірно спричинені або пов'язані з використанням або покладанням на будь-який вміст, товари чи послуги, згадані в цій статті.
Джерело: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/